# Windows User Accounts: Von der lokalen Insel zur Cloud-ID

TL;DR / Management Summary Windows unterscheidet heute drei Haupt-Identitätstypen: Lokale Konten (Sicherheitsinsel), Microsoft Accounts (Privatnutzung/Cloud-Sync) und Enterprise-Identitäten (Active Directory oder Entra ID). Für Admins ist die Kontrolle über diese Konten entscheidend, um Datenabfluss zu verhindern und SSO (Single Sign-On) zu ermöglichen. In Firmenumgebungen ist die Migration von lokalen Konten zu Domänen- oder Cloud-Accounts ein Standard-Task für konsistentes Management.

# 1. Einführung & Architektur

Die SID: Der genetische Code eines Users.

Jeder User in Windows wird intern durch eine SID (Security Identifier) repräsentiert (z.B. S-1-5-21-...).

# Identitätstypen im Vergleich

1. Lokales Konto: Existiert nur in der SAM-Datenbank (C:\Windows\System32\config\SAM) des PCs. Keine Synchronisation.
2. Microsoft Account (MSA): Cloud-ID für Endverbraucher. Synchronisiert Wallpaper, Edge-Favoriten und OneDrive.
3. Entra ID (früher Azure AD): Moderne Enterprise-Cloud-ID. Ermöglicht Passwortloses Anmelden (Windows Hello for Business).

# Architektur-Übersicht (Mermaid)

graph TD
    subgraph "Identitäts-Quellen"
    SAM[Lokale SAM DB]
    AD[On-Prem Active Directory]
    ENTRA[Microsoft Entra ID / Cloud]
    end

    subgraph "Windows Client"
    LSASS[LSASS Process] -->|Auth| SAM
    LSASS -->|Auth| AD
    LSASS -->|Auth| ENTRA
    end

    PROFIL[C:\Users\%Username%] -->|Mapped to| SID[User SID]

# 2. Verwaltung in der Praxis

User bändigen.

# Lokale Accounts via CLI (PowerShell)

Admins nutzen oft unsichtbare Service-Accounts oder lokale Notfall-Admins.

# Neuen lokalen User anlegen
New-LocalUser -Name "TechAdmin" -Description "Notfall-Konto" -NoPassword

# Zur Admin-Gruppe hinzufügen
Add-LocalGroupMember -Group "Administratoren" -Member "TechAdmin"

# Deaktivieren von MSA auf Firmengeräten

Verhindern Sie, dass User private Konten mit Firmen-PCs verknüpfen (GPO):

• Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Sicherheitsoptionen
• Einstellung: Konten: Microsoft-Konten blockieren -> Benutzer können keine Microsoft-Konten hinzufügen.

# 3. Deep Dive: Profil-Migration

Umzug ohne Datenverlust.

Das schwierigste Szenario: Ein User hat jahrelang mit einem lokalen Konto gearbeitet und soll nun in die Domäne oder Cloud migriert werden.

# Das Problem

Die Daten liegen in C:\Users\LokalUser. Der neue Account DOMAIN\User bekommt einen leeren Ordner C:\Users\User.

# Die Lösung: Profwiz (ForensiT)

Das Standard-Tool für Senior Admins zum “Umgelten” von SIDs.

1. Tool starten.
2. Lokales Profil auswählen.
3. Ziel-Domäne und Ziel-Username angeben.
4. Effekt: Die ACLs (Berechtigungen) auf dem Dateisystem werden so geändert, dass der Domänen-User das alte lokale Profil übernimmt.

# 4. Day-2 Operations: Identitätsschutz

Passwörter sind von gestern.

# Windows Hello for Business (WHfB)

Ersetzen Sie Passwörter durch PIN, Fingerabdruck oder Gesichtserkennung.

• Technik: Basiert auf einem Public/Private Key Paar. Der Private Key verlässt niemals das TPM des Geräts.
• Vorteil: Selbst wenn der Server gehackt wird, gibt es keine Passwörter zu stehlen (Phishing-Resistent).

# 5. Troubleshooting & “War Stories”

Wenn der Login fehlschlägt.

# Top 3 Fehlerbilder

1. Symptom: “Die Anmeldung des Dienstes ‘Benutzerprofildienst’ ist fehlgeschlagen”.

   • Ursache: Korruptes Profil in der Registry.
   • Lösung: Navigieren zu HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList. Suchen Sie den Key mit .bak am Ende und entfernen Sie das Suffix (nach Sicherung!).

2. Symptom: User wird immer mit einem “Temporären Profil” angemeldet.

   • Ursache: Antivirus sperrt die NTUSER.DAT während des Logins.
   • Lösung: Ausschlussregeln für Profil-Pfade definieren.

3. Symptom: Passwort-Reset via AD wird am Laptop (Home Office) nicht erkannt.

   • Ursache: Laptop nutzt “Cached Credentials”. Er hat keinen Kontakt zum Domain Controller.
   • Lösung: User muss sich einmal via VPN (vor dem Login, falls unterstützt) oder im Büro verbinden.

# “War Story”: Der “Double Identity” Cloud-Split

Ein Unternehmen führte Entra ID ein, löschte aber die lokalen AD-Konten nicht sauber. Ergebnis: Die User meldeten sich am PC mit User@Firma.de an (Cloud), aber die Fileserver-Zugriffe (On-Prem) schlugen fehl, weil die SIDs nicht gemappt waren. Lehre: Nutzen Sie Microsoft Entra Connect, um Identitäten zwischen On-Prem und Cloud zu synchronisieren. Identität ist ein Hybrid-Thema!

# 6. Monitoring & Auditing

Wer hat sich wann angemeldet?

# Event ID 4624 (Erfolgreiche Anmeldung)

Überwachen Sie den Logontyp:

• Typ 2: Lokal (Tastatur).
• Typ 3: Netzwerk (Fileshare).
• Typ 7: Unlock (Bildschirmsperre).
• Typ 10: RemoteDesktop (RDP).

# 7. Fazit & Empfehlung

Kontenverwaltung ist die Basis für Compliance.

• Empfehlung: Nutzen Sie für alle Firmengeräte Cloud-Native Identitäten (Entra ID Joined), außer es gibt zwingende Gründe für ein lokales AD.
• Sicherheit: Deaktivieren Sie das integrierte Administrator Konto und nutzen Sie LAPS (Local Administrator Password Solution), um für jeden PC ein individuelles, rotierendes Passwort zu haben.

# Anhang: Cheatsheet

# Referenzen

• Microsoft Learn: Windows Hello for Business
• ForensiT User Profile Wizard (Profwiz)
• LAPS Documentation